Модераторы: BearBeer

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> защита своей проги! в каком месте встроить чтоб необошли 
:(
    Опции темы
mmvds
Дата 23.12.2007, 18:11 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Бывалый
*


Профиль
Группа: Участник
Сообщений: 230
Регистрация: 22.12.2007

Репутация: нет
Всего: 6



Цитата

Для Каспера ненужен кейген или кряк, ибо это программный продукт актуальность которого очень сильно зависит от новизны его баз. У Каспера вообще нет никакой локальной защиты, просто в случае неавлидного ключа тебе никто не даст обновиться, вот и всё. А так его функционал нисколько не ограничен. Или ты никогда не слышал об альтернативных серверах обновления? Как думаешь тысячам людям удаётся обновляться без ключа вообще? Неудачный пример. 

Да, но насколько я знаю (пользуюсь старой доброй 5 версией smile ), проверка ключа у каспера проходит не на сервере, а на клиенте, после скачивания обновлений с черным списком. На альтернативных серверах черный список зачищен, так что вообще без ключа обновляться не получится. Честно говоря, не понимаю, что им мешало организовать проверку ключа на сервере, размер небольшой, предавать через защищенный протокол.

Цитата

Кстати, я бы вряд ли купил программу, где защита реализована подобным образом(описанным тобой), только в случае острой необходимости и уникальности продукта, ибо я 1) недоверчив и очень требователен к защите системы; 2) считаю, что подобная защита характеризует разработчика, как жадного до мелочи человека незаботящегося о своих пользователях, из-за этого: 

Если не ошибаюсь, защита Steam игрушек организована по аналогичному принципу - без стим аккаунта на стим сервер не законнектиться, а между тем легальных пользователей стима - сотни тысяч.

Про отказ лицензионного сервера уже писал - дублирование на другом хостинге.

Честно говоря защиту писал больше из энтузиазма - написать не очередную курсовую прогу, а что-то более-менее серьезное.

PM MAIL ICQ   Вверх
W4FhLF
Дата 23.12.2007, 18:50 (ссылка) |    (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


found myself
****


Профиль
Группа: Участник Клуба
Сообщений: 2831
Регистрация: 2.12.2006

Репутация: 1
Всего: 121



Цитата(mmvds @  23.12.2007,  18:11 Найти цитируемый пост)
Да, но насколько я знаю (пользуюсь старой доброй 5 версией  ), проверка ключа у каспера проходит не на сервере, а на клиенте, после скачивания обновлений с черным списком. На альтернативных серверах черный список зачищен, так что вообще без ключа обновляться не получится.


Суть в том, что для такого ПО этот вариант является наилучшим решением, ибо АВ без баз - вещь бесполезная. Сколько ещё типов ПО так же сильно нуждаются в данных из интернета? Думается, что не так много. 

Цитата(mmvds @  23.12.2007,  18:11 Найти цитируемый пост)
Если не ошибаюсь, защита Steam игрушек организована по аналогичному принципу - без стим аккаунта на стим сервер не законнектиться, а между тем легальных пользователей стима - сотни тысяч.


Полезеность информации на винтах геймров стремиться к нулю. Я, допустим, всегда запрещаю доступ в сеть программам, которые в этом не нуждаются(Winamp, NERO, etc), для остальных созданы жёсткие правила, а если, скажем, какой-нибудь анализатор логов Oracle(не знаю, что у тебя за ПО было) при каждом запуске лезет куда-то, а запретив ему это делать, вообще перестаёт работать, думаешь это многим понравится? 

Цитата(mmvds @  23.12.2007,  18:11 Найти цитируемый пост)
Про отказ лицензионного сервера уже писал - дублирование на другом хостинге.


Отлично, раскрутил ты таки свою программу, у тебя множество пользователей купивших её за свои кровные. Тут появляются конкуренты и заказывают DDOS твоего домена. Любой хостинг оказывается в дауне ессно и все твои пользователи лишаются возможности пользоваться купленной ими программой на неопределённый промежуток времени. 
Я думаю многие побегут к твоему конкуренту и купят у него аналог, в любом случае большинство откажется пользоваться твоим продуктом. А если эта программа, скажем, составляет отчёты по обороту средств в фирме? Фирма несёт ущерб и подаёт на тебя в суд(в целом, любой пользователь может это сделать) и преспокойно выигрывает дело, ибо потери она понесла из-за нессответствующего заявленному качества программы и им абсолютно плевать, что у тебя просто схема защиты кривая, они покупали программу, чтобы та работала, как было заявлено. 




--------------------
"Бог умер" © Ницше
"Ницше умер" © Бог
PM ICQ   Вверх
Earnest
Дата 26.12.2007, 09:36 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Экс. модератор
Сообщений: 5962
Регистрация: 17.6.2005
Где: Рязань

Репутация: нет
Всего: 183



Цитата(W4FhLF @  23.12.2007,  19:50 Найти цитируемый пост)
 Фирма несёт ущерб и подаёт на тебя в суд(в целом, любой пользователь может это сделать) и преспокойно выигрывает дело, ибо потери она понесла из-за нессответствующего заявленному качества программы и им абсолютно плевать, что у тебя просто схема защиты кривая, они покупали программу, чтобы та работала, как было заявлено. 

Ну это ты загнул... практически в любом коммерческом софте в лицензионном соглашении есть слова типа "продается as is" и "никакой ответственности не несет" smile  smile  smile 

Есть еще один аспект разработки защиты, о котором почему-то никогда не говорят: приставленная сбоку защита - это ерунда, а встроенная в значимый функционал - очень осложняет дальнейшее сопровождение и развитие этого функционала, поскольку структурно его портит. Ну не нужна она там с точки зрения основного дизайна. А все, что не нужно, портит и осложняет. Лично меня это всегда больше всего напрягало: стараешься делать дизайн и код прозрачным, а в случае защиты нужно делать все наоборот, чтобы враг не догадался... Исполнение куска кода в ключе - здорово, конечно, когда оно заработало и на веки веков, аминь. А отладка? А изменения-сопровождение? А демо-версии, наконец? Да, все это можно сделать, но какой, блин, лишний геморрой!

ИМХО, не стоит пытаться придумать бронебойную защиту: достаточно, чтобы любой подросток гвоздем не мог расковырять. Профессионал - вскроет, вопрос денег и времени, если оно ему надо будет. Лучше тратить ресурсы на развитие программы. Если стоимость и полезность программы будут сбалансированы, то пиратские копии послужат рекламой, и бог с ними. Это, конечно, относится только к професиональному софту (который покупают большие компании). Им - проще купить, чем тырить по мелочи. Потому, кстати, всякие Автокады и защищены так себе. А частные пользователи погоды не делают. С софтом чисто домашнего применения история совсем другая, конечно. Тут - либо придется быть альтруистом, либо уходить в корпоративный сектор  smile 



--------------------
...
PM   Вверх
KLeonid
Дата 21.1.2008, 08:25 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Entropy
*


Профиль
Группа: Участник
Сообщений: 51
Регистрация: 5.7.2007
Где: Shpongleland

Репутация: нет
Всего: 1



ИМХО, защита с сервером будет лучше в варианте RPC, а не серийников. Т.к. серийник можно элементарно заснифить, а если траф шифруется - все так же выдернуть дебагером на стадии исполнения.
Вызов удаленных функций с одной стороны усложнит взлом, а с другой сделает кучу проблем для продавца в виде необходимости иметь множество серверов и постоянно их мониторить. Плюс сложные удаленные функции будут грузить сервер, а простые - легко понять принцип работы, дописать локально и "подшить" к проге.
Вот если бы придумать алгоритм постоянного изменения кода самой программы на лету с переписыванием частей екзешника или дллок. Чтоб часть программы постоянно меняла точку и алгоритм проверки валидности, и являлась неотъемлемой частью работы основной части программы.

Мне бы вот придумать как защитить PHP код без всяких зендов, чтоб хоть зашифровать или сделать работоспособным только на 1 сервере...
PM MAIL   Вверх
W4FhLF
Дата 21.1.2008, 09:50 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


found myself
****


Профиль
Группа: Участник Клуба
Сообщений: 2831
Регистрация: 2.12.2006

Репутация: 1
Всего: 121



Цитата(KLeonid @  21.1.2008,  08:25 Найти цитируемый пост)
ИМХО, защита с сервером будет лучше в варианте RPC, а не серийников. Т.к. серийник можно элементарно заснифить, а если траф шифруется - все так же выдернуть дебагером на стадии исполнения.


А в случае с RPC на локальный комп ничего передаваться не будет чтоли? RPC - это всего-лишь механизм передачи, суть защиты от этого не меняется. 


--------------------
"Бог умер" © Ницше
"Ницше умер" © Бог
PM ICQ   Вверх
mmvds
Дата 21.1.2008, 12:39 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Бывалый
*


Профиль
Группа: Участник
Сообщений: 230
Регистрация: 22.12.2007

Репутация: нет
Всего: 6



Цитата(KLeonid @  21.1.2008,  08:25 Найти цитируемый пост)
ИМХО, защита с сервером будет лучше в варианте RPC

Право на выполнение RPC тоже определяется клиент-сервером.

Цитата(W4FhLF @  21.1.2008,  09:50 Найти цитируемый пост)
А в случае с RPC на локальный комп ничего передаваться не будет чтоли? RPC - это всего-лишь механизм передачи, суть защиты от этого не меняется.  

+1

Цитата(KLeonid @  21.1.2008,  08:25 Найти цитируемый пост)
Вот если бы придумать алгоритм постоянного изменения кода самой программы на лету с переписыванием частей екзешника или дллок. Чтоб часть программы постоянно меняла точку и алгоритм проверки валидности, и являлась неотъемлемой частью работы основной части программы.

Можно присылать и шифрованные экзешники smile Можно и шифровать части на лету, но сам алгоритм расшифровки все-равно останется не шифрованным. 
Вот только на самом деле, стоит ли так заморачиваться, это же не военная разработка в конце концов smile

Цитата(KLeonid @  21.1.2008,  08:25 Найти цитируемый пост)
Мне бы вот придумать как защитить PHP код без всяких зендов, чтоб хоть зашифровать или сделать работоспособным только на 1 сервере...

Не скажу, что я специалист по PHP, скорее его изучение было необходимостью. 
В своих кодах делаю проверку абсолютно всех используемых параметров:
1) Считываю из сессии все переменные, полученные до данного скрипта.
2) Перед проверкой изменений или добавления новых параметров пропускаю их на очистку от спец символов.
3) Затем проверяю на возможные значения с помошью регулярок.
4) После выполнения скрипта опять же все переменные записываю в сессию.
Если интересуют примеры, стучись в асю smile
PM MAIL ICQ   Вверх
_El_
Дата 17.3.2008, 22:20 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 28
Регистрация: 25.9.2007

Репутация: нет
Всего: нет



Прочитала тему и не вижу к чему же таки пришли)). Передо мной стоит так же задача защитить программу (программа написана на паскале под MS-DOS). Програма серьезная и защиту хотелось бы соответствующую. Хотела попробовать динамическое шифрование, но не знаю как оно реализовывается.
PM MAIL   Вверх
dumb
Дата 18.3.2008, 03:05 (ссылка) |    (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


sceloglauxalbifacies
****


Профиль
Группа: Экс. модератор
Сообщений: 2929
Регистрация: 16.6.2006

Репутация: нет
Всего: 158



что за несерьезные люди поручили тебе делать серьезную защиту "серьезной" программы?

компетенция твоя в вопросе защиты, прости, никакая. первый пост был пол-года назад, за это время никакого прогресса в решении проблемы не видно: какие-то cpuid, "обфускаторы для паскаля", зато гордо отвергнут вариант навесного протектора за "несерьезность"(примечание: для компилируемых языков обфускация имеет смысл только на уровне машинного кода, чем, собственно, и занимаются навесные протекторы, вкупе со всякой анти-отладочной "мишурой").

да и серьезность самой программы "на паскале под MS-DOS" тоже представляется весьма сомнительной... хоть какие-то обоснования против "переезда" на более свежие ОС имеются?

есть вариант - использовать какой-либо железный ключ(hasp,hardlock,guardant,sentinel,...) + envelope от производителей, но сдается, что люди, желающие навариваться от продаж, не хотят вкладывать ни пенни в защиту, так что это тоже не вариант.
PM MAIL   Вверх
_El_
Дата 18.3.2008, 14:03 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 28
Регистрация: 25.9.2007

Репутация: нет
Всего: нет



Программа под DOS потому что написана и используется в гос. структуре, где убедить перейти на другую ОС очень трудно.
PM MAIL   Вверх
dumb
Дата 19.3.2008, 01:32 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


sceloglauxalbifacies
****


Профиль
Группа: Экс. модератор
Сообщений: 2929
Регистрация: 16.6.2006

Репутация: нет
Всего: 158



Цитата(_El_ @  18.3.2008,  14:03 Найти цитируемый пост)
потому что написана и используется в гос. структуре
опа. тоже вариант. smile не учел.

возьми отсюда какой-нибудь HackStop и не мучайся. тот народ, который еще помнит, как "запускать отладчик" в досе, давно уже не интересуется этим самым "запуском"... smile
PM MAIL   Вверх
_El_
Дата 19.3.2008, 07:09 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 28
Регистрация: 25.9.2007

Репутация: нет
Всего: нет



просто взять HackStop не пойдет, т.к. защита проги это мой диплом)
PM MAIL   Вверх
Competitor
Дата 13.1.2009, 17:08 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 440
Регистрация: 23.3.2005
Где: Tula

Репутация: нет
Всего: -1



Цитата(Snowy @  10.4.2006,  18:36 Найти цитируемый пост)
Нет конечно.
В том-то и дело, что ключ состоит из 2-х частей.
1 - я складывается из параметров компьютера.
2 - я серийный номер для компьютера
Вместе они дают ключ, которым информация декодируется на любой машине.
А как этого добиться - алгоритмов много. 

я не понимаю, как это вообще будет работать. Юзер должен отослать серийник изготовителю ПО, и получить от него ключ, которым он расшифрует этот массив констант. Откуда изготовитель ПО возьмет ключ для расшифроки этого массива?? Поясните пожалуйста, буду очень благодарен.

PM MAIL WWW   Вверх
PavelSafonov
Дата 29.1.2015, 22:57 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 3
Регистрация: 29.1.2015

Репутация: нет
Всего: нет



Для надежной защиты программы используйте StubIt, как работает эта система защиты:
часть жизненно важного кода приложения вырезается прямо из бинарного кода и отправляется на сервер, после чего исполняется только на сервере, клиенту возращаются только результаты, вырезанный код всегда остаётся на сервере.
Взлом такой защиты сводится к восстанавлению вырезанных кусков по данным - фактически атака на чёрный ящик, на практике не берётся.
PM MAIL   Вверх
Google
  Дата 20.7.2019, 10:18 (ссылка)  





  Вверх
Страницы: (3) Все 1 2 [3] 
Ответ в темуСоздание новой темы Создание опроса
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Технологии защиты программного обеспечения | Следующая тема »


 




[ Время генерации скрипта: 0.1051 ]   [ Использовано запросов: 22 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.